CN110035037A - 安全认证方法、相关设备及系统 - Google Patents
安全认证方法、相关设备及系统 Download PDFInfo
- Publication number
- CN110035037A CN110035037A CN201810029871.4A CN201810029871A CN110035037A CN 110035037 A CN110035037 A CN 110035037A CN 201810029871 A CN201810029871 A CN 201810029871A CN 110035037 A CN110035037 A CN 110035037A
- Authority
- CN
- China
- Prior art keywords
- uag
- signature
- message
- grids
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了安全认证方法、相关设备及通信系统,通信系统包括MN、CN、UAG和GRIDS系统,UAG接收MN发送的BU消息和MN的签名,MN的签名是使用MN的私钥对BU消息进行计算得到的;使用UAG的私钥对BU消息、MN的签名和UAG的标识进行计算得到UAG的签名;向CN发送BU消息、MN的签名和UAG的签名;接收CN发送的BU响应消息和CN的签名,BU响应消息包括对UAG和MN的签名进行验证得到的结果;将所述BU响应消息和所述CN的签名发送至所述MN。实施本申请能够解决网络层增加ID后的安全认证问题,实现基于ID的快速认证和网络切换,简化了认证流程,提高认证效率,降低了切换时延。
Description
技术领域
本申请涉及通信技术领域,尤其涉及安全认证方法、相关设备及系统。
背景技术
在现如今的TCP/IP协议中,传输层和网络层紧密地结合在一起,二者并没有真正地将其各自的功能独立实现。网络层的IP地址既担任寻址功能,又担任着标识通信设备的作用。这种双重功能决定了当IP地址变化时,不仅路由会发生变化,而且通信设备的标识会发生变化。而设备标识的变化就容易导致应用故障和网络连接中断。而随着移动通信需求的大量增加,泛移动场景下,IP地址经常会发生变化,所以IP地址这种具有位置和身份双重属性存在很多弊端,无法满足移动通信的发展需要。
研究人员已经开展下一代通信技术的研究,当前一个主流研究方向是在网络层增加ID,将ID作为通信网络中节点的永久性标识,以便于满足未来网络中普遍性的移动连接需求。然而,网络层增加ID以后,依然存在很多问题有待解决。例如,网络的高安全性和低时延也成为下一代网络设计中普遍关注的问题,而网络层增加ID以后,网络的安全身份认证机制需要重新进行设计,以保证安全性和低时延的需求。所以,研究人员依然面临着严峻的技术挑战。
发明内容
本申请提供了安全认证方法、相关设备及系统,能够解决网络层增加ID后的安全认证问题,实现基于ID的移动网络的切换以及快速认证,简化了认证流程,提高认证效率,降低了切换时延,以满足下一代移动通信的发展需求。
第一方面,本发明实施例提供了一种安全认证方法,该方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;该方法从UAG侧进行描述,当所述MN需要与所述CN保持在线通信连接时,包括以下步骤:所述UAG接收所述MN发送的绑定更新BU消息和所述MN的签名;所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;所述UAG使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算,得到所述UAG的签名;所述UAG向所述CN发送所述BU消息、所述MN的签名和所述UAG的签名;所述UAG接收所述CN发送的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;所述UAG将所述BU响应消息和所述CN的签名发送至所述MN。
基于上述通信系统,为了实现本发明实施例中安全认证的技术方案,本发明实施例还提供了一种面向ID的网络(Identity-Oriented Networking,ION)协议架构。ION协议架构是一种新型的通信协议架构,ION协议架构在传统IPv6协议架构的IP层(3层)和传输层(4层)之间增加了标识层(3.5层)。这样,采用ION协议架构的节点(或终端)都可以采用标识层的标识作为唯一不变的身份标识。而且,标识层位于IP层之上,所以,ION协议架构下的节点(或终端)可以根据标识层的标识通过IP层进行寻址。本申请文件中,ION协议架构下的节点(或终端)的标识都是指标识层的标识(ID)。节点(或终端)的标识可以是固定不变的标识,例如,设备序列号、手机号码、国际移动设备标识。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在终端节点双方(MN与CN)已经注册/分配ID的情况下,本发明实施例提供了基于ID的BU消息认证机制。在移动性管理中,BU消息格式支持ID/IP格式,BU消息(BU请求消息、BU响应消息)在MN与CN之间只需交互一次,即能实现双向身份验证,简化了认证流程。另外,本发明实施例还提供了双重签名机制,MN和UAG分别用自身ID对应的私钥对BU消息进行签名,对端分别验证两次签来实现对身份和网络的认证。例如只需一次BU消息,CN就同时验证了MN的身份、UAG的身份以及MN的网络路径可达性,裁剪了路由可达机制,大大减少时延,提高认证效率。
本发明实施例中,GRIDS系统是本发明实施例提供的一种终端的身份注册与认证系统,不同的运营商网络可具有不同的GRIDS系统。终端(例如MN或CN)可通过合法授权的方式接入该运营商网络的GRIDS系统,这时可称所述终端隶属于所述GRIDS系统。例如,MN可通过某运营商的SIM卡接入该运营商的GRIDS系统。具体的,GRIDS系统中可以包括以下逻辑实体:ID管理系统(IDManagement System,IDMS),IDMS用于为终端(如MN或CN)分配相关身份标识(Identity,ID),提供ID注册服务以及基于ID的认证服务;名称映射系统(NameManagement System,NMS),NMS中记录有终端的ID与终端的位置(Locator)之间的映射关系,提供ID与位置(例如IP)之间的映射服务;身份密钥管理系统(Identity KeyManagement System,IKMS):IKMS可具有全局公钥和全局私钥,负责生成身份密钥,即IKMS基于终端的公钥生成终端对应的私钥;可选的还包括认证授权计费(AuthenticationAuthorization Accounting,AAA)系统,AAA系统用于对终端进行AAA认证。
基于第一方面,在可能的实施方式中,MN和CN隶属于相同的GRIDS系统或者不同的GRIDS系统,在所述UAG接收所述MN发送的BU消息和所述MN的签名之前,MN需要与GRIDS系统进行相关的身份ID注册以及获得对应的私钥、IP地址等,该过程包括:所述UAG接收所述MN发送的认证请求;所述UAG将所述认证请求发送至所述GRIDS系统,所述认证请求至少包括所述MN的标识;所述UAG接收所述GRIDS系统发送的认证结果,并为所述MN分配IP地址;所述认证结果包括已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥;所述UAG将所述认证结果和所述MN的IP地址发送至所述MN。所述MN在生成BU消息过程中,将所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息携带在所述BU消息中,也就是说,所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息。其中,所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。
需要说明的是,当在MN和CN都隶属于同一个GRIDS系统时,由于GRIDS的认证算法相同,IKMS的全局公钥IKMS已被MN和CN所获取。那么,MN和CN之间的BU请求消息可不需要携带所述认证信息。但是,在可能的应用场景中,为了与跨GRIDS系统的情况下的流程保持一致,也可以在BU请求消息中携带所述认证信息。
基于第一方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,例如第一GRIDS系统为第一运营商的GRIDS系统、第二GRIDS系统为第二运营商的GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;相应的,这种情况下,所述UAG将所述认证请求发送至所述GRIDS系统,具体为:所述UAG将所述认证请求发送至所述第一GRIDS系统;所述UAG接收所述GRIDS系统发送的认证结果,具体为:所述UAG接收所述第一GRIDS系统发送的认证结果。
基于第一方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;这种情况下,MN也可以预先获取对端CN的认证信息,进而把CN的认证信息携带在BU消息中发给对端,以便于CN确认该认证信息是否正确,从而完成身份的确认。具体的,在所述UAG将所述认证结果和所述MN的IP地址发送至所述MN之后,MN实现了自身ID的注册,那么MN预先获取对端CN的认证信息的过程包括:MN在需要与对端CN进行BU消息通信前,向UAG发送查询请求,用以查询CN的认证信息,所述查询请求至少包括所述CN的标识;所述UAG接收所述MN发送的查询请求,然后,所述UAG向所述第一GRIDS系统发送所述查询请求;第一GRIDS系统进而向第二GRIDS系统发送该查询请求,第二GRIDS处理查询请求得到查询结果(例如通过第二GRIDS系统的IKDS获得全局公钥,通过第二GRIDS系统的NMS获得CN的IP等等),第二GRIDS系统将查询结果返回到第一GRIDS,第一GRIDS进而将CN的认证信息返回至UAG,所述UAG接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;所述UAG向所述所述MN发送所述查询结果;MN在后续将所述CN的IP地址和所述CN的认证信息携带在BU消息中,也就是说,所述BU消息这时还包括所述CN的IP地址和所述CN的认证信息。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在进行身份验证时,MN与网络、MN与CN之间均能够快速实现端对端的身份认证,大大地减少了身份认证的流程。
第二方面,本发明实施例提供了一种安全认证方法,该方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;该方法从MN侧进行描述,当所述MN需要与所述CN保持在线通信连接时,包括以下步骤:所述MN向所述GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;所述MN使用所述MN的私钥计算绑定更新BU消息,所述BU消息至少包括所述MN的标识、所述CN的标识和所述MN的认证信息,得到所述MN的签名;所述MN向所述UAG发送所述BU消息和所述MN的签名;所述UAG用于根据所述BU消息、所述MN的签名和所述UAG的标识生成所述UAG的签名,进而发送所述BU消息、所述MN的签名和所述UAG的签名至所述CN;所述MN接收所述UAG发送的来自所述CN的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份;其中,所述CN的标识作为所述CN的公钥。
需要说明的是,当在MN和CN都隶属于同一个GRIDS系统时,由于GRIDS的认证算法相同,IKMS的全局公钥IKMS已被MN和CN所获取。那么,MN和CN之间的BU请求消息可不需要携带所述认证信息。但是,在可能的应用场景中,为了与跨GRIDS系统的情况下的流程保持一致,也可以在BU请求消息中携带所述认证信息。
同样,基于上述通信系统,为了实现本发明实施例中安全认证的技术方案,本发明实施例还提供了一种面向ID的网络(Identity-Oriented Networking,ION)协议架构。同样GRIDS系统是本发明实施例提供的一种终端的身份注册与认证系统,不同的运营商网络可具有不同的GRIDS系统,包括IDMS,IKMS,NMS,AAA系统等等,终端(例如MN或CN)可通过合法授权的方式接入该运营商网络的GRIDS系统,这时可称所述终端隶属于所述GRIDS系统。
基于第二方面,在可能的实施方式中,所述MN向所隶属的GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息,具体包括:所述MN发送认证请求至所述GRIDS系统,所述认证请求至少包括所述MN的标识;所述MN接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识(ID)、所述MN的私钥和所述MN的认证信息;所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥。
可以理解的,对于CN而言,CN同样也会向所隶属的GRIDS系统进行身份注册,获得已通过身份注册的所述CN的标识(ID)、所述CN的私钥和所述CN的认证信息。可以理解的,在安全通信中,公钥和私钥是配对使用的,比如A端使用A的私钥进行加密,那么B端需要用A的公钥才能解密。而本发明实施例中,MN的ID就是MN的公钥,CN的ID就是CN的公钥所以,MN和CN可以提前交换公钥,或者通过后续BU消息将公钥发给对方。
基于第二方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,例如第一GRIDS系统为第一运营商的GRIDS系统、第二GRIDS系统为第二运营商的GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;这种情况下,所述MN发送认证请求至所述GRIDS系统,具体为:所述MN发送认证请求至所述第一GRIDS系统;所述MN接收所述GRIDS系统的认证结果,具体为:所述MN接收所述第一GRIDS系统的认证结果。
基于第二方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;这种情况下,MN也可以预先获取对端CN的认证信息,进而把CN的认证信息携带在BU消息中发给对端,以便于CN确认该认证信息是否正确,从而完成身份的确认。这个过程包括:所述MN向所述UAG发送所述BU消息和所述MN的签名之前,还包括:所述MN发送查询请求至所述第一GRIDS系统;所述查询请求至少包括所述CN的标识;具体的,MN发送查询请求至所述UAG,然后,所述UAG向所述第一GRIDS系统发送所述查询请求;第一GRIDS系统进而向第二GRIDS系统发送该查询请求,第二GRIDS处理查询请求得到查询结果(例如通过第二GRIDS系统的IKDS获得全局公钥,通过第二GRIDS系统的NMS获得CN的IP等等),第二GRIDS系统将查询结果返回到第一GRIDS,第一GRIDS进而将CN的认证信息返回至UAG,所述UAG接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;所述UAG向所述所述MN发送所述查询结果;所述MN接收所述查询结果,MN在后续将所述CN的IP地址和所述CN的认证信息携带在BU消息中,也就是说,所述BU消息这时还包括所述CN的IP地址和所述CN的认证信息。
基于第二方面,在移动通信网络中,MN在移动情况下,离开之前连接的网络节点(旧UAG),附着到新的网络节点(新UAG)时,MN的通信数据的通信线路将从旧UAG迁移到新UAG,这个过程称为移动切换。当MN需要和CN进行通信时,为了保证网络通信的合法安全,一方面,MN和CN均需要在所隶属的GRIDS系统中完成身份的注册和认证;另一方面,需要保持切换过程中的会话不终端,且MN和CN需要重新相互进行身份确认和认证。然后,MN和CN之间才能实现在线通信。在可能的实施方式中,当所述MN处于移动切换场景,需要从旧的UAG切换到新的UAG,也就是说,上述UAG为所述MN移动后所附着的新UAG;在所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之前,所述MN仍然与所述MN移动前的所属的旧UAG保持通信连接;MN可以基于上文所述的BU认证方式完成与CN之间的身份验证,而在所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之后,所述MN断开与所述旧的UAG的通信连接,从而保证了在业务数据传输不中断的情况下,完成了移动切换场景中MN与CN的BU消息认证。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),本发明实施例提供的GRIDS系统是分布式系统,当MN在漫游时需要移动切换,本发明实施例能够实现基于ID的快速身份认证和网络认证,MN不需要另外到认证中心进行认证,简化了认证流程,大大减少了移动切换过程中MN接入新网络的认证时间,同时保证了切换过程的会话不中断,简化了切换的流程,降低了切换时延。
第三方面,本发明实施例提供了一种安全认证方法,该方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;该方法从CN侧进行描述,当所述MN需要与所述CN保持在线通信连接时,包括以下步骤:所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名;其中,所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;所述UAG的签名是使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算得到的;所述CN使用所述UAG的标识验证所述UAG的签名,以实现验证所述UAG的身份;使用MN的标识验证所述MN的签名,以实现验证所述MN的身份;得到认证的结果;所述CN使用所述CN的私钥计算BU响应消息,所述BU响应消息包括所述认证的结果,得到所述CN的签名;所述CN通过所述UAG将所述BU响应消息、所述CN的签名发送至所述MN。
基于第三方面,在可能的实施方式中,所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息。需要说明的是,当在MN和CN都隶属于同一个GRIDS系统时,由于GRIDS的认证算法相同,IKMS的全局公钥IKMS已被MN和CN所获取。那么,MN和CN之间的BU请求消息可不需要携带所述认证信息。但是,在可能的应用场景中,为了与跨GRIDS系统的情况下的流程保持一致,也可以在BU请求消息中携带所述认证信息。
同样,基于上述通信系统,为了实现本发明实施例中安全认证的技术方案,本发明实施例还提供了一种面向ID的网络(Identity-Oriented Networking,ION)协议架构。同样GRIDS系统是本发明实施例提供的一种终端的身份注册与认证系统,不同的运营商网络可具有不同的GRIDS系统,包括IDMS,IKMS,NMS,AAA系统等等,终端(例如MN或CN)可通过合法授权的方式接入该运营商网络的GRIDS系统,这时可称所述终端隶属于所述GRIDS系统。
基于第三方面,在可能的实施方式中,所述UAG的标识包括子网前缀和设备序列号,或者,所述UAG的标识包括子网前缀和设备序列号哈希;举例来说,UAG的ID为128位,其中前64位表示子网前缀,后64位为UAG的设备序列号的后64位,或者后64位为UAG的设备序列号哈希的后64位。需要说明的是,IP地址也具有子网前缀。设置UAG的ID具有子网前缀的目的在于,便于后续CN通过比较UAG的ID中的子网前缀和IP地址中的子网前缀是否一致,从而验证MN是否具有网络路径可达性(即MN的IP地址是否是可达)。
具体的,在所述CN接收所述UAG发送BU消息、所述MN的签名和所述UAG的签名之后,还包括:所述CN比较所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀是否一致;如果所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀一致,则验证了所述MN具有网络路径可达性。
需要说明的是,UAG支持多个子网网段情况下,UAG存在多个ID。每个UAG的ID中的子网前缀对应于其中一个子网网段,UAG选取与MN的子网网段一致的ID确定当前的UAG的ID,并在后续将该UAG的ID携带在所述BU消息中。
本发明实施例中,由于UAG的ID被用作UAG的公钥,故CN使用UAG的ID来验证UAG的签名,实现对UAG的身份(MN所在网络)的认证。具体实现中,CN取下UAG的签名,使用UAG的ID和全局公钥GPK进行解密,得到BU消息的摘要,从而确认该BU消息是UAG所发送的,然后,对BU消息本身使用哈希函数,将得到的结果与该摘要进行对比,从而证明该BU消息未被篡改,该BU消息是合法有效的。CN通过验证UAG的签名,验证了UAG的身份,即,验证了MN是否通过合法网络的接入。
本发明实施例中,由于MN的ID被用作MN的公钥,故CN使用MN的ID来验证MN的签名,实现对MN的身份的认证。具体实现中,CN取下MN的签名,使用MN的ID和全局公钥GPK进行解密,得到BU请求消息的摘要,从而确认该BU请求消息是MN所发送的,然后,对BU请求消息本身使用哈希函数,将得到的结果与该摘要进行对比,从而证明该BU请求消息未被篡改,该BU请求消息是合法有效的。CN通过验证MN的签名,验证了MN的身份。
基于第三方面,在可能的实施方式中,CN同样需要向所隶属的GRIDS系统进行身份ID注册以及获得相应的私钥等等。具体的,在所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之前,还包括:所述CN通过UAG发送认证请求至所述GRIDS系统,所述认证请求至少包括所述CN的标识;所述CN通过UAG接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识、所述CN的私钥和所述CN的认证信息;其中,所述通过了身份注册的所述CN的标识作为所述CN的公钥。
基于第三方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;这种情况下,所述CN发送认证请求至所述GRIDS系统,具体为:所述MN发送认证请求至所述第二GRIDS系统;所述CN接收所述GRIDS系统的认证结果,具体为:所述MN接收所述第二GRIDS系统的认证结果。
基于第三方面,在可能的实施方式中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;这种情况下,MN也可以预先获取对端CN的认证信息,进而把CN的认证信息携带在BU消息中发给对端,以便于CN确认该认证信息是否正确,从而完成身份的确认。这种情况下,MN所发送的所述BU消息还包括所述CN的IP地址和所述CN的认证信息;其中,所述CN的IP地址和所述CN的认证信息是所述第一GRIDS系统向所述第二GRIDS系统请求得到,并发送至所述MN的。在所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之后,所述方法还包括:所述CN验证所述CN的IP地址和所述CN的认证信息是否正确,如果所述CN的IP地址和所述CN的认证信息正确,则所述CN通过对所述MN的身份的认证。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在进行身份验证时,MN与网络、MN与CN之间均能够快速实现端对端的身份认证,大大地减少了身份认证的流程。在终端节点双方(MN与CN)已经注册/分配ID的情况下,本发明实施例提供了基于ID的BU消息认证机制。在移动性管理中,BU消息格式支持ID/IP格式,BU消息(BU请求消息、BU响应消息)在MN与CN之间只需交互一次,即能实现双向身份验证,简化了认证流程。另外,本发明实施例还提供了双重签名机制,MN和UAG分别用自身ID对应的私钥对BU消息进行签名,对端分别验证两次签来实现对身份和网络的认证。例如只需一次BU消息,CN就同时验证了MN的身份、UAG的身份以及MN的网络路径可达性,裁剪了路由可达机制,大大减少时延,提高认证效率。
第四方面,本发明实施例提供了一种UAG设备,所述UAG设备包括:处理器、接收器和发射器、存储器,这些部件可在一个或多个通信总线上通信,其中,处理器可调用存储器中的程序代码、通信指令和数据,以便于实现第一方面所述的方法。
第五方面,本发明实施例提供了一种MN设备,所述MN设备包括:处理器、接收器和发射器、存储器,这些部件可在一个或多个通信总线上通信,其中,处理器可调用存储器中的程序代码、通信指令和数据,以便于实现第二方面所述的方法。
第六方面,本发明实施例提供了一种CN设备,所述CN设备包括:处理器、接收器和发射器、存储器,这些部件可在一个或多个通信总线上通信,其中,处理器可调用存储器中的程序代码、通信指令和数据,以便于实现第三方面所述的方法。
第七方面,本发明实施例提供了又一种UAG设备,所述UAG设备包括接收单元、签名单元、发送单元,这些功能模块用于实现第一方面所述的方法中UAG的相关功能。
第八方面,本发明实施例提供了又一种MN设备,所述MN设备包括身份管理单元、签名单元、发送单元、接收单元和移动性管理单元,这些功能模块用于实现第二方面所述的方法中UAG的相关功能。
第九方面,本发明实施例提供了又一种CN设备,所述CN设备包括身份管理单元、签名单元、发送单元、接收单元,这些功能模块用于实现第三方面所述的方法中CN的相关功能。
第十方面,本发明实施例提供了一种通信系统,该通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统,其中,UAG可以是第四方面所描述的UAG,所述MN可以是第五方面所描述的MN,所述CN可以是第六方面所描述的CN;另外,所述UAG还可以是第七方面所描述时的UAG,所述MN还可以是第八方面所描述的MN,所述CN还可以是第九方面所描述的CN。所述GRIDS系统可以包括以下逻辑实体:ID管理系统IDMS,用于为终端(如MN或CN)分配相关身份标识(ID),提供ID注册服务以及基于ID的认证服务;身份密钥管理系统IKMS,用于基于终端的公钥生成对应的私钥;名称映射系统NMS,记录有终端的ID与终端的位置(Locator)之间的映射关系,用于提供ID与位置(例如IP)之间的映射服务;可选的还包括认证授权计费AAA系统,用于对终端进行AAA认证。
第十一方面,本发明实施例提供了一种计算机可读存储介质,用于存储第一方面所述方法的实现代码。
第十二方面,本发明实施例提供了一种计算机可读存储介质,用于存储第二方面所述方法的实现代码。
第十三方面,本发明实施例提供了一种计算机可读存储介质,用于存储第三方面所述方法的实现代码。
第十四方面,本发明实施例提供了一种计算机软件产品,当其在计算机中运行时,可用于实现第一方面所述的方法。
第十五方面,本发明实施例提供了一种计算机软件产品,当其在计算机中运行时,可用于实现第二方面所述的方法。
第十六方面,本发明实施例还提供了一种计算机软件产品,当其在计算机中运行时,可用于实现第三方面所述的方法。
可以看出,由于本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID)。在终端节点双方(MN与CN)已经注册/分配ID的情况下,本发明实施例提供了基于ID的BU消息认证机制。在移动性管理中,BU消息格式支持ID/IP格式,BU消息(BU请求消息、BU响应消息)在MN与CN之间只需交互一次,即能实现双向身份验证,简化了认证流程。另外,本发明实施例还提供了双重签名机制,MN和UAG分别用自身ID对应的私钥对BU消息进行签名,对端分别验证两次签来实现对身份和网络的认证。例如只需一次BU消息,CN就同时验证了MN的身份、UAG的身份以及MN的网络路径可达性,裁剪了路由可达机制,大大减少时延,提高认证效率。当MN在漫游时需要移动切换,本发明实施例能够实现基于ID的快速身份认证和网络认证,MN不需要另外到认证中心进行认证,简化了认证流程,大大减少了移动切换过程中MN接入新网络的认证时间,同时保证了切换过程的会话不中断,简化了切换的流程,降低了切换时延。
附图说明
图1A-1D是本发明实施例涉及的几种通信系统的示意图;
图2是本发明实施例提供的IPv6协议架构与ION协议架构的对比示意图;
图3是本发明实施例所涉及的安全认证方法的流程示意图;
图4是本发明实施例提供的一种安全认证方法的流程示意图;
图5是本发明实施例提供的又一种安全认证方法的流程示意图;
图6是本发明实施例提供的又一种安全认证方法的流程示意图;
图7是本发明实施例提供的一种BU消息的结构示意图;
图8是本发明实施例提供的又一种BU消息的结构示意图;
图9是本发明实施例提供的UAG的标识的结构示意图;
图10是本发明实施例提供的又一种BU消息的结构示意图;
图11是本发明实施例提供的又一种安全认证方法的流程示意图;
图12是本发明实施例提供的又一种安全认证方法的流程示意图;
图13是本发明实施例提供的一种移动切换场景的安全认证方法的流程示意图;
图14是本发明实施例提供的又一种移动切换场景的安全认证方法的流程示意图;
图15是本发明实施例提供的一种设备的结构示意图;
图16是本发明实施例提供的一种UAG设备的结构示意图;
图17是本发明实施例提供的一种MN设备的结构示意图;
图18是本发明实施例提供的一种MN设备的结构示意图.
具体实施方式
下面结合附图以及具体的实施方式对本申请实施例进行详细的介绍。
参见图1A-1D,图1A-1D是本发明实施例涉及的几种通信系统的示意图。本发明实施例涉及的通信系统主要包括以下几个部分:
(1)移动节点(MobileNode,MN):在本发明实施例中,MN为逻辑实体,用于表示移动终端,具体可以是终端设备(Terminal)、用户设备(User Equipment)以及物联网(Internetof Things,IoT)设备等等中的任意一种或者多种的组合。其中,终端设备可以是台式计算机(computer),笔记本电脑(notebook),平板电脑(PAD)等等。用户设备可以是智能手机(smart phone),智能手表(smart watch),智能眼镜等等。物联网设备可以是智能单车,智能汽车,智能电器等等。应理解,上述举例仅是为说明,不应构成具体限定。
(2)通信节点(Correspondent Node,CN):在本发明实施例中,CN为逻辑实体,用于表示与MN进行通信的通信对端,CN可以是可移动的,也可以是不可移动的,具体可以是终端设备(Terminal)、用户设备(User Equipment)以及物联网(Internet of Things,IoT)设备等等中的任意一种或者多种的组合。其中,终端设备可以是台式计算机(computer),笔记本电脑(notebook),平板电脑(PAD),服务器等等。用户设备可以是智能手机(smart phone),智能手表(smart watch),智能眼镜等等。物联网设备可以是智能单车,智能汽车,智能电器等等。例如MN和CN均为智能手机,MN和CN可用于进行后文所描述的相关身份认证与通信。应理解,上述举例仅是为说明,不应构成具体限定。
(3)统一接入网关(Unified Access Gateway,UAG):用于连接运营商网络,为MN和CN等终端提供网络接入以及IP地址的分配等。
(4)通用弹性标识服务(Generic Resilient IDServices,GRIDS)系统:GRIDS系统是本发明实施例提供的一种终端的身份注册与认证系统,不同的运营商网络具有不同的GRIDS系统。终端(例如MN或CN)可通过合法授权的方式接入该运营商网络的GRIDS系统,这时可称所述终端隶属于该GRIDS系统,例如,MN可通过某运营商的SIM卡接入该运营商的GRIDS系统。具体的,GRIDS系统可以包括以下逻辑实体:
ID管理系统(ID Management System,IDMS):IDMS用于为终端(如MN或CN)分配相关身份标识(Identity,ID),提供ID注册服务以及基于ID的认证服务。
身份密钥管理系统(Identity Key Management System,IKMS):IKMS可具有全局公钥(Global Public Key,GPK)和全局私钥(Global Secret Key,GSK),负责基于终端的公钥生成该终端的私钥。终端的公钥和私钥是配对使用的,即,当通讯双方中的其中一方使用终端的私钥进行签名以获得签名时,另一方只能使用该终端的公钥对该签名进行验证。本发明实施例中,终端的ID被用作终端的公钥,具体的,IKMS可基于MN的ID,生成MN的ID对应的私钥,进而将MN的私钥发送给MN。类似的,IKMS可基于CN的ID,生成CN的ID对应的私钥,进而将CN的私钥发送给CN;IKMS可基于UAG的ID,生成UAG的ID对应的私钥,进而将UAG的私钥发送给UAG。需要说明的是,在可能的实施例中,IKMS可部署在IDMS中,也就是说,IKMS作为IDMS功能实体的一部分而存在。在又一种可能的实施例中,IKMS和IDMS可分别作为独立的功能实体而存在。
名称映射系统(Name Management System,NMS):NMS中记录有终端的ID与终端的位置(Locator)之间的映射关系,提供ID与位置(例如IP)之间的映射服务,例如,提供ID到IP的查询服务。
认证授权计费(Authentication Authorization Accounting,AAA)系统:AAA系统用于对终端进行认证,其中,所谓认证(Authentication)为用以对用户身份进行确认;所谓授权为(Authorization)为用以确定用户是否被授权使用某种网络资源;所谓计费(Accounting)为用以监测用户使用网络资源的状况,可依照检测的记录对用户收费。需要说明的是,在可能的实施例中,AAA系统在部署在所述GRIDS系统的内部;在又一种可能的实施例中,AAA系统也可在部署与所述GRIDS系统的外部。
还需要理解的是,本发明实施例中,IDMS、IKMS、NMS以及AAA系统均是逻辑实体,这些逻辑实体部署方式可以是非常灵活的,例如,IDMS、IKMS、NMS以及AAA系统可以分别单独部署,可以集中部署(例如,部署在同一服务器中等等),也可以和其他的设备部署在一起,本申请不作具体限定。
另外,在实际应用中,IDMS、IKMS、NMS以及AAA系统在不同系统中的实际产品名称可能不尽相同,例如,有些产品中的身份密钥管理系统被称为私钥生成器(Private-KeyGenerator,PKG)。可以理解的,产品名称的改变并不会影响密身份密钥管理系统的实质。
如图1A所示,在可能的应用场景中,MN和CN均为通信终端,MN和CN均隶属于同一个网络运营商的GRIDS系统,MN与UAG进行无线连接,CN与UAG进行无线连接,GRIDS系统和UAG进行有线或无线连接。当MN需要和CN进行通信时,为了保证网络通信的合法安全,一方面,MN和CN均需要在GRIDS系统中完成身份的注册和认证;另一方面,MN和CN需要相互进行身份确认和认证。然后,MN和CN之间才能实现在线通信。
如图1B所示,在可能的应用场景中,MN和CN均为通信终端,MN与UAG进行无线连接,CN与UAG进行无线连接。但是,MN和CN隶属于不同网络运营商的GRIDS系统,其中,MN隶属于第一GRIDS系统,CN隶属于第二GRIDS系统,第一GRIDS系统和第二GRIDS系统分别与UAG进行有线或无线连接。当MN需要和CN进行通信时,为了保证网络通信的合法安全,一方面,MN和CN均需要在各自所隶属的GRIDS系统中完成身份的注册和认证;另一方面,MN和CN需要相互进行身份确认和认证。然后,MN和CN之间才能实现在线通信。
如图1C所示,在可能的应用场景中,MN和CN均为通信终端,MN和CN均隶属于同一个网络运营商的GRIDS系统。在移动通信网络中,MN在移动情况下,离开之前连接的网络节点(第一UAG),附着到新的网络节点(第二UAG)时,MN的通信数据的通信线路将从第一UAG迁移到第二UAG,这个过程称为移动切换。当MN需要和CN进行通信时,为了保证网络通信的合法安全,一方面,MN和CN均需要在GRIDS系统中完成身份的注册和认证;另一方面,需要保持切换过程中的会话不终端,减少切换时延,MN和CN需要重新相互进行身份确认和认证。然后,MN和CN之间才能实现在线通信。
如图1D所示,在可能的应用场景中,MN和CN均为通信终端,但是MN和CN隶属于不同网络运营商的GRIDS系统,其中,MN隶属于第一GRIDS系统,CN隶属于第二GRIDS系统。在移动通信网络中,MN在移动情况下,离开之前连接的网络节点(第一UAG),附着到新的网络节点(第二UAG)时,MN的通信数据的通信线路将从第一UAG迁移到第二UAG,这个过程称为移动切换。当MN需要和CN进行通信时,为了保证网络通信的合法安全,同样的,一方面,MN和CN均需要在各自所隶属的GRIDS系统中完成身份的注册和认证;另一方面,需要保持切换过程中的会话不终端,减少切换时延,MN和CN需要重新相互进行身份确认和认证。然后,MN和CN之间才能实现在线通信。
基于上述通信系统,为了实现本发明实施例中安全认证的技术方案,本发明实施例还提供了一种面向ID的网络(Identity-OrientedNetworking,ION)协议架构。在本发明实施例中,ION协议架构是一种新型的通信协议架构,如图2所示,与传统的IPv6协议架构的不同之处在于:ION协议架构在IPv6协议架构的IP层(3层)和传输层(4层)之间增加了标识层(3.5层)。这样,采用ION协议架构的节点(或终端)都可以采用标识层的标识作为唯一不变的身份标识。而且,标识层位于IP层之上,所以,ION协议架构下的节点(或终端)可以根据标识层的标识通过IP层进行寻址。本申请文件中,ION协议架构下的节点(或终端)的标识都是指标识层的标识(ID)。节点(或终端)的标识可以是固定不变的标识,例如,设备序列号、手机号码、国际移动设备标识(International MobileEquipment Identity,IMEI)、国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、IP多媒体私有标识(IP Multimedia Private Identity,IMPI)、IP多媒体公共标识(IP Multimedia PublicIdentity,IMPU)等等,也可以是临时分配的标识,例如,临时移动用户标识符(TemporaryMobile Subscriber Identity,TMSI)、全球唯一临时UE标识(Globally Unique TemporaryUE Identity,GUTI)等等。
为了便于更好理解本发明实施例的技术方案,下面介绍本发明实施例所涉及的基于ION协议架构的通信流程,参见图3,当MN需要与CN进行网络通信时,MN与CN之间需要完成的身份认证,具体包括以下流程步骤:
1.MN判断本地是否具有已注册的ID,如果不存在已注册的ID,则执行步骤2;如果存在已注册的ID,则执行步骤3。
2.MN通过GRIDS系统进行ID注册,获取与自身的ID对应的身份密钥(自身的私钥以及GRIDS系统的全局公钥等)。完成本步骤后,由于MN判断本地已具有注册的ID,后续MN可继续执行步骤3。
3.MN存在已注册ID情况下,判断是否已通过网络认证且获得相应的IP地址。如果当前已通过网络认证,且已经获得新的IP,则后续执行步骤4;否则,如果当前需要再次进行网络认证(例如认证已经过期),或者MN与NMS之间的共享密钥已经失效,后续执行步骤5。
4.MN进行BU消息认证。由于MN需要与通信节点CN通信,为了在线与CN保持通信连接,MN发起BU消息,通过一次BU消息的交互,与CN相互进行基于ID的身份认证。本发明实施例中,BU消息认证过程采用基于ID的双重签名机制。
5.MN进行基于ID的快速网络认证。MN以基于ID的认证方式接入网络,确认了自身ID的合法有效性,获得新的IP地址。MN判断自身已经通过了网络认证且获得了相应的IP地址后,后续将执行步骤5。
6.在移动场景下,MN判断是否需要进行移动切换,如果需要进行移动切换,则执行步骤7;如果不需要进行移动切换,为了保持与CN之间的持续的在线通信,MN可周期性地执行步骤4。
7.在需要移动切换时,MN进入新的网络附着点,进入移动切换流程,MN与新附着的UAG以及所述的GRIDS系统进行基于ID的快速网络认证,然后在新的网络下,与CN进行BU消息认证,从而完成移动切换。
下面详细说明本发明实施例的上述步骤的中相关的安全认证方法的实现过程。
参见图4,基于上述通信系统,下面首先介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的ID注册与身份密钥分发过程,该过程包括但不限于以下步骤:
1.终端附着网络,二层接入到UAG。其中,所述终端可以是MN,也可以是CN。
2.终端接入网络后,需要通过AAA认证才能拥有合法有效的身份。具体的,UAG向AAA系统发起AAA认证请求。
3.AAA系统收到AAA认证请求后,根据自身所配置的认证机制对终端的身份进行认证,获得认证结果。其中,所述认证机制例如可以是基于用户识别码和密码(或密码哈希)的挑战/应答(Challenge/Response)认证机制。然后,AAA系统将所述认证结果发给UAG。
4.UAG验证所述认证结果后,确认所述终端的身份合法,UAG根据预先配置的IP分配机制,为所述终端分配IP地址。另外,UAG还拥有GRIDS系统中的相关网元(例如IDMS)的IP地址。
5.UAG将终端的IP地址、IDMS的IP地址、终端的AAA认证信息发送给终端。相应的,终端接收所述终端的IP地址、IDMS的IP地址、AAA认证信息。
6.终端向GRIDS发起ID注册与私钥申请请求。其中,所述ID注册与私钥申请请求中携带有终端的IP地址和终端的AAA认证信息,所述ID注册与私钥申请请求中还可携带有终端的ID。具体的,终端向UAG发送ID注册与私钥申请请求,UAG进而转发所述ID注册与私钥申请请求至所述GRIDS系统中的IDMS。
7.IDMS向AAA系统请求认证终端的身份,具体的,IDMS将终端的认证信息转发到AAA系统,以请求AAA系统验证所述认证信息。相应的,AAA系统接收所述认证信息。
8.AAA系统查询本地数据库,对验证所述认证信息,得到验证结果。所述验证结果用于指示验证成功或验证失败。AAA系统将验证结果发送给IDMS。
9.如果所述认证结果指示验证成功,则IDMS通过所述终端的ID的注册(通过终端所发送过来的ID的注册,或者为所述终端分配了ID)。然后,IDMS执行后续步骤10。此外,可以理解的,如果所述认证结果指示验证失败,则IDMS直接通过UAG向所述终端告知ID注册失败。
10.IDMS向IKMS发送私钥与系统参数请求,所述私钥与系统参数请求中携带有所述终端的ID。
11.IKMS收到终端的ID后,获取IKMS的系统参数,使用预配置的密钥算法,根据终端的ID计算终端的私钥,然后,将IKMS的系统参数和终端的私钥返回给所述IDMS。相应的,IDMS接收所述IKMS的系统参数和终端的私钥。
12.IDMS与终端进行密钥协商,以协商出共享密钥SK1(Secret Key1),所述SK1用于建立分发终端的私钥的安全通道。例如,IDMS与终端可基于密钥交换协议(DiffieHellman,DH)协商出所述SK1。
13.IDMS将已注册的终端的ID、终端的私钥、IKMS的系统参数、以及IDMS的ID、NMS的ID、NMS的IP等信息,使用SK1进行加密。
14.IDMS通过安全通道将已使用SK1加密的终端的ID、终端的私钥、IKMS的系统参数、以及IDMS的ID、NMS的ID、NMS的IP等信息传输到终端。相应的,终端接收这些信息,并使用所协商的密钥进行解密,获得终端的ID、终端的私钥、IKMS的系统参数、以及IDMS的ID、NMS的ID、NMS的IP等信息,至此,终端完成了ID注册及私钥申请。
15.后续,在终端需要进行ID与IP映射关系注册时,终端向IDMS发送ID与IP映射注册请求,所述ID与IP映射注册请求携带有终端的ID、终端的IP和第一随机数(Nonce1)等信息,且这些信息使用SK1进行加密。
16.IDMS接收所述ID与IP映射注册请求后,使用SK1解密所述ID与IP映射注册请求,然后将解密后的ID与IP映射注册请求发送到NMS。
17.NMS接收ID与IP映射注册请求后,提取出终端的ID和终端的IP,建立终端的ID和终端的IP之间的映射关系,并生成第二随机数(Nonce2)。
18.NMS计算终端与NMS之间的共享密钥SK2(SecretKey1),在具体的实施例中,所述SK2=F(终端ID,Nonce1,Nonce2,NMS的ID),即所述SK2根据终端的ID、NMS的ID、Nonce1和Nonce2生成。
19.NMS将ID与IP映射注册结果和第二随机(Nonce2)一起发送至到IDMS。
20.IDMS将ID与IP映射注册结果和Nonce2,使用SK1加密,并发送给终端。
21.终端接收到所述加密的ID与IP映射注册结果和Nonce2后,使用SK1解密。然后计算出共享密钥SK2,在具体的实施例中,SK2=F(终端ID,Nonce1,Nonce2,NMS的ID)。后续当终端需要进行ID与IP映射关系查询时,终端使用SK2加密ID与IP映射查询请求,或者终端需要进行ID与IP映射关系更新,终端使用SK2加密ID与IP映射更新请求,然后再发送至NMS,从而实现对相关查询或更新消息的安全保护。
需要说明的是,如果终端接入网络后是首次认证与注册ID,则可从上述步骤1开始执行。如终端并非是接入网络后首次认证与注册ID,那么也可直接从步骤15开始执行。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID)。本发明实施例对AAA认证机制进行扩展,增加了终端节点的ID的注册消息和密钥分发流程,ID注册过程中,网络为终端节点(MN、CN)颁发其ID对应私钥和认证信息,后续能够基于ID实现密钥交换和身份验证,简化了认证流程,提高了认证效率。
参见图5,终端在已注册ID需要再次认证的情况下,或者终端与NMS之间密钥SK2已经失效需要再次认证,不需要再进行AAA系统的认证,而是进行基于ID进行快速认证。基于上述通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的基于ID的快速网络认证过程,该过程包括但不限于以下步骤:
1.终端向IDMS发送ID认证请求。终端构建ID认证请求消息,所述ID认证请求消息包括ID与IP映射注册请求,ID与IP映射注册请求携带有终端的ID、终端的IP和第一随机数(Nonce1)等信息。终端使用终端的私钥计算所述ID认证请求消息,得到终端的签名,并用IDMS的公钥加密所述Nonce1。终端将携带中终端的签名的ID认证请求消息发送到IDMS。
2.IDMS使用IDMS的私钥解密Nonce1,并用终端的ID(即终端的公钥)验证终端的签名,验证通过后,提取出所述终端的ID、终端的IP,完成对终端的ID的认证。
3.IDMS发送ID与IP映射注册请求消息到NMS,ID与IP映射注册请求携带有终端的ID、终端的IP和第一随机数(Nonce1)等信息。相应的,NMS接收所述信息。
4.NMS建立终端的ID与IP之间的映射关系,生成第二随机数(Nonce2),所述Nonce2后续用于计算终端与NMS之间的共享密钥SK2。然后,NMS将ID与IP映射关系注册结果和Nonce2一起发送到IDMS。
5.IDMS使用IDMS的私钥计算ID认证结果确认和Nonce2,得到IDMS的签名,其中,所述ID认证结果可包括IDMS对ID的认证结果以及NMS返回的ID与IP映射关系注册结果。另外,IDMS还采用终端的ID进行加密所述Nonce2。
6.IDMS将ID认证结果、IDMS的签名和加密的Nonce2一起发送到终端。
7.终端接收到ID认证结果、IDMS的签名和加密的Nonce2后,使用终端的私钥解密Nonce2,并用IDMS的ID(即IDMS的公钥)验证IDMS的签名(包括比对Nonce2)。验证通过后,终端计算共享密钥SK2,具体的,SK2=F(终端的ID,Nonce1,Nonce2,NMS的ID)。
8.同样的,NMS也计算共享密钥SK2,具体的,SK2=F(终端的ID,Nonce1,Nonce2,NMS的ID)。
可以理解的,后续当终端需要进行ID与IP映射关系查询时,终端使用SK2加密ID与IP映射查询请求,或者终端需要进行ID与IP映射关系更新,终端使用SK2加密ID与IP映射更新请求,然后再发送至NMS,从而实现对相关查询或更新消息的安全保护。
需要说明的是,当终端/NMS中所保存的SK2过期以后,终端与相关网关将重新执行图5实施例的上述步骤,再次进行基于ID的快速网络认证以及相关SK2的密钥协商。
可以看出,由于本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在ID已被注册时,当需要再次进行身份认证时,MN与网络之间均能够实现基于ID的快速网络认证,大大地减少了身份认证的流程,从而减少时延,提高认证效率。
参见图6,移动网络中,通信终端的MN和通信对端的CN进行通信时,为了在线保持与对端的通信连接,需要互相发送和验证绑定更新(BandingUpdate,BU)消息,BU消息是用于在移动网络中进行位置通告/身份确认的消息,作为通信双方保持在线的一种方式。BU消息的呈现形式包括BU请求消息和BU响应消息。基于上述图1A的通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的BU消息认证过程,该过程包括但不限于以下步骤:
本方案开始前,MN和CN都在所隶属的GRIDS系统中注册了各自的ID、获得了各自的私钥以及相关的认证信息(包括IKMS的全局公钥GPK)。MN和CN还分别获得了相关网元的ID(例如UAG的ID),这个过程可参考图4或图5实施例的相关描述,这里不再赘述。另外,MN和CN之间还互相交换了自身的公钥,亦即,MN获得了CN的ID,CN获得了MN的ID,其中,所述CN的ID被用作CN的公钥,所述MN的ID用作MN的公钥。
1.MN生成BU请求消息,计算MN的签名。
具体的,所述BU请求消息包括MN的ID、CN的ID、MN的IP,在可能实施例中,所述BU请求消息还包括MN的认证信息,所述MN的认证信息的认证信息包括GRIDS的认证算法、MN的认证参数以及全局公钥GPK等,其中,所述MN的认证参数AP1可根据消息发送时间(Time)、GRIDS的认证算法、全局公钥GPK、IKMS系统参数等等信息生成。
需要说明的是,在MN和CN都隶属于同一个GRIDS网络管理域时,由于GRIDS的认证算法相同,IKMS的全局公钥IKMS已被MN和CN所获取。那么,MN和CN之间的BU请求消息可不需要携带所述认证信息。但是,在可能的应用场景中,为了与跨GRIDS网络管理域的情况下的流程保持一致,也可以在BU请求消息中携带所述认证信息。
MN使用MN的私钥对BU请求消息进行计算,得到MN的签名(signature)。具体实现中,MN可使用哈希函数计算所述BU请求消息,得到摘要(digest),然后使用MN的私钥加密所述摘要,得到MN的签名。MN构建如图7所示的BU消息,该BU消息包括BU请求消息和MN的签名。
2.MN向UAG发送携带MN的签名的所述BU请求消息,亦即,将BU请求消息和MN的签名发送至UAG。
3.UAG接收到所述BU请求消息和MN的签名后,计算UAG的签名。
本发明实施例中,采用双重签名(MN签名和UAG签名)的机制来保证BU消息的安全认证,所以,UAG进一步计算UAG的签名,包括:UAG使用UAG的私钥对BU请求消息、MN的签名、UAG的ID进行计算,得到UAG的签名。具体实现中,UAG可使用哈希函数计算BU请求消息、MN的签名、UAG的ID,得到摘要,然后使用UAG的私钥对摘要进行加密,得到UAG的签名。UAG构建如图8所示的BU消息,该BU消息包括BU请求消息、MN的签名、UAG的标识和UAG的签名。
参见图9,本发明实施例中,UAG的ID由子网前缀和设备序列号(或设备序列号哈希)构成,举例来说,UAG的ID为128位,其中前64位表示子网前缀,后64位为UAG的设备序列号的后64位,或者后64位为UAG的设备序列号哈希的后64位。需要说明的是,IP地址也具有子网前缀。设置UAG的ID具有子网前缀的目的在于,便于后续CN通过比较UAG的ID中的子网前缀和IP地址中的子网前缀是否一致,从而验证MN是否具有网络路径可达性(即MN的IP地址是否是可达)。
需要说明的是,UAG支持多个子网网段情况下,UAG存在多个ID。每个UAG的ID中的子网前缀对应于其中一个子网网段,UAG选取与MN的子网网段一致的ID确定当前的UAG的ID,并在后续将该UAG的ID携带在所述BU消息中。
需要说明的是,在可能的应用场景中,在MN接入网络后,由于需要与CN保持持续的在线通信,那么MN会周期性地向CN发送BU请求消息,这种情况下,为了提高网络通信效率,减少功耗,UAG可以在第一次收到BU请求消息的情况下才做计算UAG的签名,以保证安全身份认证。如果不是第一次收到BU请求消息,那么MN和CN都已经确认了UAG的身份合法以及消息可达,这种情况下,UAG可不计算签名,而是直接对BU请求消息和MN的签名进行转发处理。具体的,UAG接收到所述BU请求消息和MN的签名后,UAG判断是否为MN接入网络后的第一次BU请求消息:如果不是,UAG可选地判断是否进行再次签名;如果UAG需要再次签名,则执行上述签名方案得到UAG的签名;如果UAG不需要再次签名,则后续只将BU请求消息和MN的签名转发至CN。
4.UAG将BU请求消息、MN的签名、UAG的ID和UAG的签名发送至CN。
5.CN验证MN的签名,验证UAG的签名,验证MN的网络可达性。
本发明实施例中,由于UAG的ID被用作UAG的公钥,故CN使用UAG的ID来验证UAG的签名,实现对UAG的身份(MN所在网络)的认证。具体实现中,CN取下UAG的签名,使用UAG的ID和全局公钥GPK进行解密,得到BU消息的摘要,从而确认该BU消息是UAG所发送的,然后,对BU消息本身使用哈希函数,将得到的结果与该摘要进行对比,从而证明该BU消息未被篡改,该BU消息是合法有效的。CN通过验证UAG的签名,验证了UAG的身份,即,验证了MN是否通过合法网络的接入。
本发明实施例中,由于MN的ID被用作MN的公钥,故CN使用MN的ID来验证MN的签名,实现对MN的身份的认证。具体实现中,CN取下MN的签名,使用MN的ID和全局公钥GPK进行解密,得到BU请求消息的摘要,从而确认该BU请求消息是MN所发送的,然后,对BU请求消息本身使用哈希函数,将得到的结果与该摘要进行对比,从而证明该BU请求消息未被篡改,该BU请求消息是合法有效的。CN通过验证MN的签名,验证了MN的身份。
如图9所示,本发明实施例中,UAG的ID由子网前缀和设备序列号(或设备序列号哈希)构成,举例来说,UAG的ID为128位,其中前64位表示子网前缀。而MN的IP地址的前64位也可表示子网前缀。CN取下BU请求消息所携带的MN的IP地址,比较UAG的ID中的子网前缀和IP地址中的子网前缀是否一致,如果一致,则验证了MN具有网络路径可达性(即MN的IP地址是可达的)。
需要说明的是,在可能的应用场景中,在MN接入网络后,由于需要与CN保持持续的在线通信,那么MN会周期性地向CN发送BU请求消息,这种情况下,为了提高网络通信效率,减少功耗,UAG可以在第一次收到BU请求消息的情况下才做计算UAG的签名,以保证安全身份认证。如果不是第一次收到BU请求消息,那么MN和CN都已经确认了UAG的身份合法以及消息可达,这种情况下,UAG可不计算签名,而是直接将BU请求消息和MN的签名转发到CN。具体的,CN接收到BU消息后,判断BU消息中是否有UAG的签名:如果有UAG的签名,则执行上述的相关验证流程。如果没有UAG的签名,则仅验证MN的签名,和验证MN的网络路径可达性。
6.CN生成BU响应消息以及CN的签名,并通过UAG发送至所述MN。
具体的,所述BU响应消息包括CN的ID、MN的ID、CN的IP,在可能实施例中,所述BU请求消息还包括CN的认证信息,所述CN的认证信息的认证信息包括GRIDS的认证算法、CN的认证参数以及全局公钥GPK等,其中,所述CN的认证参数AP2可根据响应消息发送时间(Time)、GRIDS的认证算法、全局公钥GPK、IKMS系统参数等等信息生成。
需要说明的是,在MN和CN都隶属于同一个GRIDS网络管理域时,由于GRIDS的认证算法相同,IKMS的全局公钥IKMS已被MN和CN所获取。那么,CN和MN之间的BU响应消息可不需要携带所述认证信息。但是,在可能的应用场景中,为了与跨GRIDS网络管理域的情况下的流程保持一致,也可以在BU响应消息中携带所述认证信息。
具体的,CN使用CN的私钥对BU响应消息进行计算,得到CN的签名。具体实现中,CN可使用哈希函数计算所述BU响应消息,得到摘要,然后使用CN的私钥加密所述摘要,得到CN的签名。CN构建如图10所示的BU消息,该BU消息包括BU响应消息和CN的签名。
CN生成BU响应消息以及CN的签名后,将所述BU响应消息和CN的签名,发送至UAG;UAG进而将所述BU响应消息和CN的签名转发至所述MN。
7.MN收到BU消息和CN的签名后,验证CN的签名。
本发明实施例中,由于CN的ID被用作CN的公钥,故MN使用CN的ID来验证CN的签名,实现对CN的身份的认证。具体实现中,MN取下CN的签名,使用CN的ID和全局公钥GPK进行解密,得到BU响应消息的摘要,从而确认该BU响应消息是CN所发送的,然后,对BU响应消息本身使用哈希函数,将得到的结果与该摘要进行对比,从而证明该BU响应消息未被篡改,该BU响应消息是合法有效的。这样,本方案中MN与CN之间完成了一次BU消息的双向认证,互相确认了对方身份以及网络可达性,后续即可开展正常的业务通信。
需要说明的是,在可能的实施例中,MN与CN之间完成基于ID的BU消息认证以后,还可进行共享密钥的协商,所协商出的共享密钥可用于BU消息的后续认证。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在进行身份验证时,MN与网络、MN与CN之间均能够快速实现端对端的身份认证,大大地减少了身份认证的流程。在终端节点双方(MN与CN)已经注册/分配ID的情况下,本发明实施例提供了基于ID的BU消息认证机制。在移动性管理中,BU消息格式支持ID/IP格式,BU消息(BU请求消息、BU响应消息)在MN与CN之间只需交互一次,即能实现双向身份验证,简化了认证流程。另外,本发明实施例还提供了双重签名机制,MN和UAG分别用自身ID对应的私钥对BU消息进行签名,对端分别验证两次签来实现对身份和网络的认证。例如只需一次BU消息,CN就同时验证了MN的身份、UAG的身份以及MN的网络路径可达性,裁剪了路由可达机制,大大减少时延,提高认证效率。
参见图11,基于上述图1B的通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的又一种BU消息认证过程,本方案中与图6实施例的区别在于,MN和CN属于不同GRIDS网络管理域,即MN隶属于第一GRIDS系统,CN隶属于第二GRIDS系统,不同GRIDS系统的全局公钥(如IKMS全局公钥)不同,不同GRIDS系统采用的认证算法可能也不同。该过程包括但不限于以下步骤:
本方案开始前,MN在所隶属的第一GRIDS系统中注册了MN的ID、获得了MN的私钥以及MN的认证信息(包括全局公钥GPK1)。CN在所隶属的第二GRIDS系统中注册了CN的ID、获得了CN的私钥以及CN的认证信息(包括全局公钥GPK2)。MN和CN还分别获得了相关网元的ID(例如UAG的ID)。另外,MN和CN之间还互相交换了自身的公钥,亦即,MN获得了CN的ID,CN获得了MN的ID,其中,所述CN的ID被用作CN的公钥,所述MN的ID用作MN的公钥。
1.MN生成BU请求消息,计算MN的签名。具体的,所述BU请求消息包括MN的ID、CN的ID、MN的IP和MN的认证信息,所述MN的认证信息的认证信息包括第一GRIDS的认证算法、MN的认证参数以及第一GRIDS中的全局公钥GPK1等,其中,所述MN的认证参数AP1可根据消息发送时间(Time)、第一GRIDS系统的认证算法、GPK1、第一GRIDS系统的IKMS系统参数等等信息生成。
2.MN向UAG发送携带MN的签名的所述BU请求消息,亦即,将BU请求消息和MN的签名发送至UAG。
3.UAG接收到所述BU请求消息和MN的签名后,计算UAG的签名。
4.UAG将BU请求消息、MN的签名、UAG的ID和UAG的签名发送至CN。
5.CN验证MN的签名,验证UAG的签名,验证MN的网络可达性。
6.CN生成BU响应消息以及CN的签名,并通过UAG发送至所述MN。具体的,所述BU响应消息包括CN的ID、MN的ID、CMN的IP和CN的认证信息,所述CN的认证信息的认证信息包括第二GRIDS的认证算法、CN的认证参数以及第二GRIDS中的全局公钥GPK2等,其中,所述CN的认证参数AP2可根据响应消息发送时间(Time)、第二GRIDS系统的认证算法、GPK2、第二一GRIDS系统的IKMS系统参数等等信息生成。
7.MN收到BU消息和CN的签名后,验证CN的签名。
需要说明的是,上述步骤的具体实现可参考图6实施例的相关描述,这里不再赘述。
参见图12,基于上述图1B的通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的又一种BU消息认证过程,MN和CN属于不同GRIDS网络管理域,即MN隶属于第一GRIDS系统,CN隶属于第二GRIDS系统,不同GRIDS系统的全局公钥(如IKMS全局公钥)不同,不同GRIDS系统采用的认证算法可能也不同,MN和CN相互之间需要对端的这些认证信息才能进行双向认证。本方案与图11实施例的区别在于,本方案提前获取对端的认证信息,并在BU消息中携带对端的认证信息进行身份认证。具体的,该过程包括但不限于以下步骤:
本方案开始前,MN在所隶属的第一GRIDS系统中注册了MN的ID、获得了MN的私钥以及MN的认证信息(包括全局公钥GPK1)。CN在所隶属的第二GRIDS系统中注册了CN的ID、获得了CN的私钥以及CN的认证信息(包括全局公钥GPK2)。MN和CN还分别获得了相关网元的ID(例如UAG的ID)。另外,MN和CN之间还互相交换了自身的公钥,亦即,MN获得了CN的ID,CN获得了MN的ID,其中,所述CN的ID被用作CN的公钥,所述MN的ID用作MN的公钥。
1.MN向UAG发送查询请求,所述查询请求用于查询CN的IP地址和CN认证信息。
2.UAG将查询请求转发至第一GRIDS系统。
3.第一GRIDS系统第二GRIDS系统发送所述查询请求。
4.第二GRIDS系统通过该系统中的网元NMS获得CN的IP地址,通过该系统中的网元IKMS获得CN的认证信息,所述CN的认证信息的认证信息包括第二GRIDS的认证算法、全局公钥GPK2、CN的认证参数等。然后,第二GRIDS系统向第一GRIDS系统返回查询结果,该查询结果包括CN的IP地址、CN的认证信息。第一GRIDS系统通过UAG将所述查询结果发送给MN。
5.MN生成BU请求消息,计算MN的签名。
与图10和图11实施例不同的是,本发明实施例中,所述BU请求消息包括MN的ID、CN的ID、MN的IP、CN的IP和CN的认证信息。
6.MN向UAG发送携带MN的签名的所述BU请求消息,亦即,将BU请求消息和MN的签名发送至UAG。
7.UAG接收到所述BU请求消息和MN的签名后,计算UAG的签名。
8.UAG将BU请求消息、MN的签名、UAG的ID和UAG的签名发送至CN。
9.CN验证MN的签名,验证UAG的签名,验证MN的网络可达性。
与图10和图11实施例不同的是,本发明实施例中,CN在验证MN的签名后,取下BU请求消息所携带的CN的认证信息,比较该认证信息和CN本地预先保存的认证信息是否一致,如果一致,则通过对MN的身份的认证。
10.CN生成BU响应消息以及CN的签名,并通过UAG发送至所述MN。
7.MN收到BU消息和CN的签名后,验证CN的签名。
需要说明的是,上述步骤的具体实现可参考图6和图11实施例的相关描述,这里不再赘述。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),在进行身份验证时,MN与网络、MN与CN之间均能够快速实现端对端的身份认证,大大地减少了身份认证的流程。在终端节点双方(MN与CN)已经注册/分配ID的情况下,本发明实施例提供了基于ID的BU消息认证机制。在移动性管理中,BU消息格式支持ID/IP格式,BU消息(BU请求消息、BU响应消息)在MN与CN之间只需交互一次,即能实现双向身份验证,简化了认证流程。另外,本发明实施例还提供了双重签名机制,MN和UAG分别用自身ID对应的私钥对BU消息进行签名,对端分别验证两次签来实现对身份和网络的认证。例如只需一次BU消息,CN就同时验证了MN的身份、UAG的身份以及MN的网络路径可达性,裁剪了路由可达机制,大大减少时延,提高认证效率。
参见图13,基于上述图1C的通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的又一种BU消息认证过程,本方案中与图6实施例的区别在于,MN在移动场景下,需要进行移动切换。也就是说,MN原先接入第一UAG,在移动中,附着到第二UAG。那么,在移动切换过程中,MN以及相关网关需要执行以下步骤:
1.MN在附着到新的网关节点第二UAG时,仍然保持与之前附着的网关节点第一UAG的连接。
然后,MN与第二UAG以及所属GRIDS系统进行基于ID的快速网络认证,认证过程包括以下步骤2-6:
2.MN在附着到第二UAG后,向第二UAG发送ID认证请求。
3.第二UAG为MN分配新的IP地址。
4.第二UAG向GRIDS系统发送ID认证请求。
5.GRIDS系统向第二UAG返回ID认证结果。
6.第二UAG将所述新的IP地址和所述ID认证结果发送给MN。
需要说明的是,上述步骤2-6的详细实现过程可参考图5实施例的相关描述,这里不再赘述。
7.可选的,MN获得ID认证结果和新的IP地址后,第一UAG和第二UAG之间建立通信隧道,该隧道用于传输在通信路程中的中途报文数据,避免在移动切换过程出现业务通信终端。具体的,这些中途报文数据依旧携带第一UAG的信息(如第一UAG的ID/IP),这些数据首先传输到第一UAG,再隧道至第二UAG。
MN与第二UAG以及所属GRIDS系统进行基于ID的BU消息认证。认证过程包括以下步骤8-15:
8.MN生成BU请求消息,计算MN的签名。
9.MN向第二UAG发送携带MN的签名的所述BU请求消息,亦即,将BU请求消息和MN的签名发送至UAG。
10.第二UAG接收到所述BU请求消息和MN的签名后,计算UAG的签名。
11.第二UAG将BU请求消息、MN的签名、第二UAG的ID和UAG的签名发送至CN。
12.CN验证MN的签名,验证UAG的签名,验证MN的网络可达性。
13.CN生成BU响应消息以及CN的签名,并将BU响应消息以及CN的签名发送至第二UAG。
14.第二UAG发送BU响应消息以及CN的签名至所述MN。
15.MN收到BU消息和CN的签名后,验证CN的签名。至此,MN与CN之间完成身份确认与网络认证。
需要说明的是,上述步骤8-15的详细实现过程可参考图6实施例的相关描述,这里不再赘述。
16.上述认证完成以后,所有对端节点(即CN)都知道了MN的附着点网络连接发生了变化,所以MN与第一UAG之间可以断开通信连接,MN的通信数据将从第一UAG完全迁移到第二UAG。至此,MN的移动切换完成。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),本发明实施例提供的GRIDS系统是分布式系统,当MN在漫游时需要移动切换,本发明实施例能够实现基于ID的快速身份认证和网络认证,MN不需要另外到认证中心进行认证,简化了认证流程,大大减少了移动切换过程中MN接入新网络的认证时间,同时保证了切换过程的会话不中断,简化了切换的流程,降低了切换时延。
参见图14,基于上述图1D的通信系统,下面介绍本发明实施例提供的一种基于ION协议架构的安全认证方法所涉及的又一种BU消息认证过程,本方案中与图13实施例的区别在于,MN隶属于第一GRIDS系统,CN隶属于第二GRIDS系统,在移动场景下,需要进行移动切换。也就是说,MN原先接入第一UAG,在移动中,附着到第二UAG。那么,在移动切换过程中,MN以及相关网关同样需要执行以下步骤:
1.MN在附着到新的网关节点第二UAG时,仍然保持与之前附着的网关节点第一UAG的连接。
然后,MN与第二UAG以及第一GRIDS系统进行基于ID的快速网络认证,认证过程包括以下步骤2-6:
2.MN在附着到第二UAG后,向第二UAG发送ID认证请求。
3.第二UAG为MN分配新的IP地址。
4.第二UAG向第一GRIDS系统发送ID认证请求。
5.第一GRIDS系统向第二UAG返回ID认证结果。
6.第二UAG将所述新的IP地址和所述ID认证结果发送给MN。
需要说明的是,上述步骤2-6的详细实现过程可参考图5实施例的相关描述,这里不再赘述。
7.可选的,MN获得ID认证结果和新的IP地址后,第一UAG和第二UAG之间建立通信隧道,该隧道用于传输在通信路程中的中途报文数据,避免在移动切换过程出现业务通信终端。具体的,这些中途报文数据依旧携带第一UAG的信息(如第一UAG的ID/IP),这些数据首先传输到第一UAG,再隧道至第二UAG。
MN与第二UAG以及第一GRIDS系统进行基于ID的BU消息认证。认证过程包括以下步骤8-15:
8.MN生成BU请求消息,计算MN的签名。
9.MN向第二UAG发送携带MN的签名的所述BU请求消息,亦即,将BU请求消息和MN的签名发送至UAG。
10.第二UAG接收到所述BU请求消息和MN的签名后,计算UAG的签名。
11.第二UAG将BU请求消息、MN的签名、第二UAG的ID和UAG的签名发送至CN。
12.CN验证MN的签名,验证UAG的签名,验证MN的网络可达性。
13.CN生成BU响应消息以及CN的签名,并将BU响应消息以及CN的签名发送至第二UAG。
14.第二UAG发送BU响应消息以及CN的签名至所述MN。
15.MN收到BU消息和CN的签名后,验证CN的签名。至此,MN与CN之间完成身份确认与网络认证。
需要说明的是,上述步骤8-15的详细实现过程可参考图6、图11、图12实施例的相关描述,这里不再赘述。
16.上述认证完成以后,所有对端节点(即CN)都知道了MN的附着点网络连接发生了变化,所以MN与第一UAG之间可以断开通信连接,MN的通信数据将从第一UAG完全迁移到第二UAG。至此,MN的移动切换完成。
可以看出,本发明实施例采用了ION协议架构,ION协议架构下的节点都具有标识层的固定身份标识(ID),本发明实施例提供的GRIDS系统是分布式系统,当MN在漫游时需要移动切换,本发明实施例能够实现基于ID的快速身份认证和网络认证,MN不需要另外到认证中心进行认证,简化了认证流程,大大减少了移动切换过程中MN接入新网络的认证时间,同时保证了切换过程的会话不中断,简化了切换的流程,降低了切换时延。
上文描述了本发明实施例的系统和方法,下面将描述本发明实施例的相关设备。
参见图15,本发明实施例提供了一种设备200,所述设备200为本发明所提供的通信系统中的实体装置,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统。该设备200包括处理器210、存储器220和发射器230以及接收器240,所述处理器210、存储器220和发射器230以及接收器240相连接(如通过总线250相互连接)。
存储器220包括但不限于是随机存储记忆体(英文:Random Access Memory,简称:RAM)、只读存储器(英文:Read-Only Memory,简称:ROM)、可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM)、或便携式只读存储器(英文:Compact Disc Read-Only Memory,简称:CD-ROM),该存储器1302用于相关指令及数据。收发器1303用于接收和发送数据。
发射器230用于发射数据或信令,接收器240用于接收数据或信令。
处理器210可以是一个或多个中央处理器(英文:CentralProcessingUnit,简称:CPU),在处理器210是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。所述处理器210用于读取所述存储器220中存储的程序代码,以实现本发明实施例中的相关方法。
在具体应用场景中,当所述设备200为UAG时,所述接收器240用于接收所述MN发送的绑定更新BU消息和所述MN的签名;所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;处理器210使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算,得到所述UAG的签名;发射器230向所述CN发送所述BU消息、所述MN的签名和所述UAG的签名;接收器240接收所述CN发送的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;发射器230将所述BU响应消息和所述CN的签名发送至所述MN。
在可能实施例中,MN和CN隶属于同一个GRIDS系统,在接收器240接收所述MN发送的BU消息和所述MN的签名之前,包括:
接收器240还用于接收所述MN发送的认证请求;发射器230将所述认证请求发送至所述GRIDS系统,所述认证请求至少包括所述MN的标识;接收所述GRIDS系统发送的认证结果,并为所述MN分配IP地址;所述认证结果包括已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥;UAG将所述认证结果和所述MN的IP地址发送至所述MN;在所述MN生成BU消息时,所述MN将所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息携带在所述BU消息中。也就是说,所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息。其中,所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。
在可能的实施例中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;发射器230将所述认证请求发送至所述GRIDS系统,具体为:发射器230将所述认证请求发送至所述第一GRIDS系统;接收器240接收所述GRIDS系统发送的认证结果,具体为:接收器240接收所述第一GRIDS系统发送的认证结果。
在可能的实施例中,在发射器230将所述认证结果和所述MN的IP地址发送至所述MN之后,接收器240还用于接收所述MN发送的查询请求,所述查询请求至少包括所述CN的标识;发射器230向所述第一GRIDS系统发送所述查询请求;接收器240接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果是所述第一GRIDS系统向所述第二GRIDS系统请求得到的,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;发射器230向所述所述MN发送所述查询结果;所述MN提取出所述查询结果中的CN的IP地址和所述CN的认证信息,在所述MN生成BU消息时,所述MN将所述CN的IP地址和所述CN的认证信息携带在所述BU消息中。也就是说,所述BU消息还包括所述CN的IP地址和所述CN的认证信息。
在具体应用场景中,当所述设备200为MN时,所述MN预先向所述GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;然后,处理器210使用所述MN的私钥计算绑定更新BU消息,所述BU消息至少包括所述MN的标识、所述CN的标识和所述MN的认证信息,得到所述MN的签名;发射器230向所述UAG发送所述BU消息和所述MN的签名;处理器210用于根据所述BU消息、所述MN的签名和所述UAG的标识生成所述UAG的签名,发射器230进而发送所述BU消息、所述MN的签名和所述UAG的签名至所述CN;接收器240接收所述UAG发送的来自所述CN的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;处理器210使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份;其中,所述CN的标识作为所述CN的公钥。
在可能的实施例中,在可能实施例中,MN和CN隶属于同一个GRIDS系统。所述MN预先向所述GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息,包括:
发射器230发送认证请求至所述GRIDS系统,所述认证请求至少包括所述MN的标识;接收器240接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥。其中,所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。
在可能实施例中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;发射器230发送认证请求至所述GRIDS系统,具体为:所述MN发送认证请求至所述第一GRIDS系统;接收器240接收所述GRIDS系统的认证结果,具体为:所述MN接收所述第一GRIDS系统的认证结果。
在可能的实施例中,所述发射器230向所述UAG发送所述BU消息和所述MN的签名之前,还包括:发射器230发送查询请求至所述第一GRIDS系统;所述查询请求至少包括所述CN的标识;接收器240接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果是所述第一GRIDS系统向所述第二GRIDS系统请求得到的,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;所述CN的认证信息包括所述CN的认证算法、所述CN的认证参数、所述第二GRIDS系统中的全局公钥;所述MN将所述CN的IP地址和所述CN的认证信息携带在所述BU消息中。
在可能的实施例中,所述MN处于移动切换场景,需要从旧的UAG切换到新的UAG。也就是说,上述UAG为所述MN移动后所附着的新UAG;在所述处理器210使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之前,所述MN仍然与所述MN移动前的所属的旧UAG保持通信连接;在所述处理器210使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之后,所述MN再断开与所述旧的UAG的通信连接。
在具体应用场景中,当所述设备200为CN时,接收器240用于接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名;其中,所述MN的签名是MN使用所述MN的私钥对所述BU消息进行计算得到的;所述UAG的签名是UAG使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算得到的;处理器210用于使用所述UAG的标识验证所述UAG的签名,以实现验证所述UAG的身份;使用MN的标识验证所述MN的签名,以实现验证所述MN的身份;得到认证的结果;处理器210还用于使用所述CN的私钥计算BU响应消息,所述BU响应消息包括所述认证的结果,得到所述CN的签名;发射器230通过所述UAG将所述BU响应消息、所述CN的签名发送至所述MN。
在可能的实施例中,所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息,所述UAG的标识包括子网前缀和设备序列号,或者,所述UAG的标识包括子网前缀和设备序列号哈希。
在接收器240接收所述UAG发送BU消息、所述MN的签名和所述UAG的签名之后,还包括:处理器210比较所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀是否一致;如果所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀一致,则验证了所述MN具有网络路径可达性。
在可能的实施例中,所述MN和所述CN隶属于同一个GRIDS系统,在接收器240接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之前,还包括:发射器230发送认证请求至所述GRIDS系统,所述认证请求至少包括所述CN的标识;接收器240接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识、所述CN的私钥和所述CN的认证信息;其中,所述通过了身份注册的所述CN的标识作为所述CN的公钥。
在可能的实施例中,所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;
发射器230发送认证请求至所述GRIDS系统,具体为:发射器230发送认证请求至所述第二GRIDS系统;接收器240接收所述GRIDS系统的认证结果,具体为:接收器240接收所述第二GRIDS系统的认证结果。
在可能的实施例中,所述BU消息也可能包括所述CN的IP地址和所述CN的认证信息;其中,所述CN的IP地址和所述CN的认证信息是所述第一GRIDS系统向所述第二GRIDS系统请求得到,并发送至所述MN的;在接收器240接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之后,所述处理器210验证所述CN的IP地址和所述CN的认证信息是否正确,如果所述CN的IP地址和所述CN的认证信息正确,则所述CN通过对所述MN的身份的认证。
需要说明的是,通信系统中的上述各个装置的具体实现方式可参考图4-图6、图11-图14方法实施例的描述,这里不再赘述。
参见图16,基于同样的发明构思,本申请还提供了又一种UAG设备300,所述UAG设备300包括接收单元301、签名单元302、发送单元303,用于实现本发明提供的通信系统中UAG的相关功能,其中:
接收单元301用于接收所述MN发送的绑定更新BU消息和所述MN的签名;所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;
签名单元302用于使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算,得到所述UAG的签名;
发送单元303用于向所述CN发送所述BU消息、所述MN的签名和所述UAG的签名;
接收单元301还用于接收所述CN发送的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;
发送单元303还用于将所述BU响应消息和所述CN的签名发送至所述MN。
通过上文图4-图6、图11-图14方法实施例的相关描述,本领域技术人员已经可以清楚知道上述UAG的各个功能单元的实现方式,所以为了说明书的简介,这里不在赘述。
参见图17,基于同样的发明构思,本申请还提供了又一种MN设备400,所述MN设备400包括身份管理单元401、签名单元402、发送单元403、接收单元404和移动性管理单元405,用于实现本发明提供的通信系统中MN的相关功能,其中:
身份管理单元401用于向所隶属的GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;
签名单元402用于使用所述MN的私钥计算绑定更新BU消息,所述BU消息至少包括所述MN的标识、所述CN的标识和所述MN的认证信息,得到所述MN的签名;
发送单元403用于向所述UAG发送所述BU消息和所述MN的签名;所述UAG用于根据所述BU消息、所述MN的签名和所述UAG的标识生成所述UAG的签名,进而发送所述BU消息、所述MN的签名和所述UAG的签名至所述CN;
接收单元404接收所述UAG发送的来自所述CN的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;
身份管理单元401还用于使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份;其中,所述CN的标识作为所述CN的公钥。
在具体实施例中,所述UAG为所述MN移动后所附着的新UAG;在所述身份管理单元401使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之前,所述移动性管理单元405用于与所述MN移动前的所属的旧UAG保持通信连接;
在所述身份管理单元401使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之后,所述移动性管理单元405断开与所述旧的UAG的通信连接,完成所述MN的移动切换。
通过上文图4-图6、图11-图14方法实施例的相关描述,本领域技术人员已经可以清楚知道上述MN的各个功能单元的实现方式,所以为了说明书的简介,这里不在赘述。
参见图18,基于同样的发明构思,本申请还提供了又一种CN设备500,所述CN设备500包括身份管理单元501、签名单元502、发送单元503、接收单元504,用于实现本发明提供的通信系统中MN的相关功能,其中:
身份管理单元501用于预先向所隶属的GRIDS系统进行身份注册,获得已通过身份注册的所述CN的标识、所述CN的私钥和所述CN的认证信息;
接收单元504用于接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名;其中,所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;所述UAG的签名是使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算得到的;
身份管理单元501还用于使用所述UAG的标识验证所述UAG的签名,以实现验证所述UAG的身份;使用MN的标识验证所述MN的签名,以实现验证所述MN的身份;得到认证的结果;
签名单元502用于使用所述CN的私钥计算BU响应消息,所述BU响应消息包括所述认证的结果,得到所述CN的签名;
发送单元503用于通过所述UAG将所述BU响应消息、所述CN的签名发送至所述MN。
通过上文图4-图6、图11-图14方法实施例的相关描述,本领域技术人员已经可以清楚知道上述CN的各个功能单元的实现方式,所以为了说明书的简介,这里不在赘述。
此外,基于相同的发明构思,本发明实施例还提供了通信系统,该通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统,其中,所述MN、CN和UAG可参考图15-图18的具体实施方式;所述GRIDS系统可以包括以下逻辑实体:ID管理系统IDMS,用于为终端(如MN或CN)分配相关身份标识(ID),提供ID注册服务以及基于ID的认证服务;身份密钥管理系统IKMS,用于基于终端的公钥生成对应的私钥;名称映射系统NMS,记录有终端的ID与终端的位置(Locator)之间的映射关系,用于提供ID与位置(例如IP)之间的映射服务;可选的还包括认证授权计费AAA系统,用于对终端进行AAA认证。其中IDMS、IKMS、NMS以及AAA系统可以分别单独部署,可以集中部署,也可以和其他的设备部署在一起。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种安全认证方法,其特征在于,所述方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;当所述MN需要与所述CN保持在线通信连接时,所述方法包括以下步骤:
所述UAG接收所述MN发送的绑定更新BU消息和所述MN的签名;所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;
所述UAG使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算,得到所述UAG的签名;
所述UAG向所述CN发送所述BU消息、所述MN的签名和所述UAG的签名;
所述UAG接收所述CN发送的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;
所述UAG将所述BU响应消息和所述CN的签名发送至所述MN。
2.根据权利要求1所述的方法,其特征在于,
在所述UAG接收所述MN发送的BU消息和所述MN的签名之前,包括:
所述UAG接收所述MN发送的认证请求;
所述UAG将所述认证请求发送至所述GRIDS系统,所述认证请求至少包括所述MN的标识;
所述UAG接收所述GRIDS系统发送的认证结果,并为所述MN分配IP地址;所述认证结果包括已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥;
所述UAG将所述认证结果和所述MN的IP地址发送至所述MN;
所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息。
3.根据权利要求2所述的方法,其特征在于,
所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。
4.根据权利要求2或3所述的方法,其特征在于,
所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;
所述UAG将所述认证请求发送至所述GRIDS系统,具体为:所述UAG将所述认证请求发送至所述第一GRIDS系统;
所述UAG接收所述GRIDS系统发送的认证结果,具体为:所述UAG接收所述第一GRIDS系统发送的认证结果。
5.根据权利要求4所述的方法,其特征在于,在所述UAG将所述认证结果和所述MN的IP地址发送至所述MN之后,所述方法还包括:
所述UAG接收所述MN发送的查询请求,所述查询请求至少包括所述CN的标识;
所述UAG向所述第一GRIDS系统发送所述查询请求;
所述UAG接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果是所述第一GRIDS系统向所述第二GRIDS系统请求得到的,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;
所述UAG向所述所述MN发送所述查询结果;
所述BU消息还包括所述CN的IP地址和所述CN的认证信息。
6.一种安全认证方法,其特征在于,所述方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;当所述MN需要与所述CN保持在线通信连接时,所述方法包括以下步骤:
所述MN向所述GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;
所述MN使用所述MN的私钥计算绑定更新BU消息,所述BU消息至少包括所述MN的标识、所述CN的标识和所述MN的认证信息,得到所述MN的签名;
所述MN向所述UAG发送所述BU消息和所述MN的签名;所述UAG用于根据所述BU消息、所述MN的签名和所述UAG的标识生成所述UAG的签名,进而发送所述BU消息、所述MN的签名和所述UAG的签名至所述CN;
所述MN接收所述UAG发送的来自所述CN的BU响应消息和所述CN的签名;所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的,所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果;
所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份;其中,所述CN的标识作为所述CN的公钥。
7.根据权利要求6所述的方法,其特征在于,
所述MN向所述GRIDS系统进行身份注册,获得已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息,包括:
所述MN发送认证请求至所述GRIDS系统,所述认证请求至少包括所述MN的标识;
所述MN接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识、所述MN的私钥和所述MN的认证信息;其中,所述通过了身份注册的所述MN的标识作为所述MN的公钥。
8.根据权利要求6或7所述的方法,其特征在于,
所述MN的认证信息包括所述MN的认证算法、所述MN的认证参数、所述GRIDS系统中的全局公钥。
9.根据权利要求7或8所述的方法,其特征在于,
所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;
所述MN发送认证请求至所述GRIDS系统,具体为:所述MN发送认证请求至所述第一GRIDS系统;
所述MN接收所述GRIDS系统的认证结果,具体为:所述MN接收所述第一GRIDS系统的认证结果。
10.根据权利要求9所述的方法,其特征在于,所述MN向所述UAG发送所述BU消息和所述MN的签名之前,所述方法还包括:
所述MN发送查询请求至所述第一GRIDS系统;所述查询请求至少包括所述CN的标识;
所述MN接收所述第一GRIDS系统根据所述查询请求返回的查询结果;其中,所述查询结果是所述第一GRIDS系统向所述第二GRIDS系统请求得到的,所述查询结果包括所述CN的IP地址和所述CN的认证信息;所述CN的认证信息包括CN的认证算法、CN的认证参数、第二GRIDS系统中的全局公钥;所述CN的认证信息包括所述CN的认证算法、所述CN的认证参数、所述第二GRIDS系统中的全局公钥;
所述MN将所述CN的IP地址和所述CN的认证信息携带在所述BU消息中。
11.根据权利要求6至10任一项所述的方法,其特征在于,所述方法还包括:
所述UAG为所述MN移动后所附着的新UAG;在所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之前,所述MN仍然与所述MN移动前所属的旧UAG保持通信连接;
在所述MN使用所述CN的标识验证所述CN的签名,以实现验证所述CN的身份之后,所述MN断开与所述旧UAG的通信连接。
12.一种安全认证方法,其特征在于,所述方法应用于通信系统,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统;当所述MN需要与所述CN保持在线通信连接时,所述方法包括以下步骤:
所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名;其中,所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的;所述UAG的签名是使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算得到的;
所述CN使用所述UAG的标识验证所述UAG的签名,以实现验证所述UAG的身份;使用MN的标识验证所述MN的签名,以实现验证所述MN的身份;得到认证的结果;
所述CN使用所述CN的私钥计算BU响应消息,所述BU响应消息包括所述认证的结果,得到所述CN的签名;
所述CN通过所述UAG将所述BU响应消息、所述CN的签名发送至所述MN。
13.根据权利要求12所述的方法,其特征在于,所述BU消息至少包括所述MN的IP地址、所述MN的标识、所述CN的标识和所述MN的认证信息。
14.根据权利要求13所述的方法,其特征在于,所述UAG的标识包括子网前缀和设备序列号,或者,所述UAG的标识包括子网前缀和设备序列号哈希;
在所述CN接收所述UAG发送BU消息、所述MN的签名和所述UAG的签名之后,还包括:所述CN比较所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀是否一致;如果所述MN的IP地址中的子网前缀和所述UAG的标识中的子网前缀一致,则验证了所述MN具有网络路径可达性。
15.根据权利要求12至14任一项所述的方法,其特征在于,在所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之前,还包括:
所述CN发送认证请求至所述GRIDS系统,所述认证请求至少包括所述CN的标识;
所述CN接收所述GRIDS系统的认证结果;所述认证结果包括已通过身份注册的所述MN的标识、所述CN的私钥和所述CN的认证信息;其中,所述通过了身份注册的所述CN的标识作为所述CN的公钥。
16.根据权利要求15所述的方法,其特征在于,
所述GRIDS系统包括互相独立的第一GRIDS系统和第二GRIDS系统,其中,所述MN隶属于所述第一GRIDS系统,所述CN隶属于所述第二GRIDS系统;
所述CN发送认证请求至所述GRIDS系统,具体为:所述MN发送认证请求至所述第二GRIDS系统;
所述CN接收所述GRIDS系统的认证结果,具体为:所述MN接收所述第二GRIDS系统的认证结果。
17.根据权利要求16所述的方法,其特征在于,所述BU消息还包括所述CN的IP地址和所述CN的认证信息;其中,所述CN的IP地址和所述CN的认证信息是所述第一GRIDS系统向所述第二GRIDS系统请求得到,并发送至所述MN的;
在所述CN接收所述UAG发送所述MN的BU消息、所述MN的签名和所述UAG的签名之后,所述方法还包括:
所述CN验证所述CN的IP地址和所述CN的认证信息是否正确,如果所述CN的IP地址和所述CN的认证信息正确,则所述CN通过对所述MN的身份的认证。
18.一种网络设备,其特征在于,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据,所述存储器用于存储权利要求1-5任一权利要求所述方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行权利要求1-5任一权利要求所述方法。
19.一种终端设备,其特征在于,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据;
所述存储器用于存储权利要求6-11任一权利要求所述方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行权利要求6-11任一权利要求所述方法;
或者,所述存储器用于存储权利要求12-17任一权利要求所述方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行权利要求12-17任一权利要求所述方法。
20.一种通讯系统,其特征在于,所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统,其中,所述UAG用于执行权利要求1-5任一权利要求所述方法,所述MN用于执行权利要求6-11任一权利要求所述方法,所述CN用于执行权利要求12-17任一权利要求所述方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029871.4A CN110035037B (zh) | 2018-01-11 | 2018-01-11 | 安全认证方法、相关设备及系统 |
| PCT/CN2018/103686 WO2019137030A1 (zh) | 2018-01-11 | 2018-08-31 | 安全认证方法、相关设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029871.4A CN110035037B (zh) | 2018-01-11 | 2018-01-11 | 安全认证方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110035037A true CN110035037A (zh) | 2019-07-19 |
| CN110035037B CN110035037B (zh) | 2021-09-17 |
Family
ID=67218438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810029871.4A Active CN110035037B (zh) | 2018-01-11 | 2018-01-11 | 安全认证方法、相关设备及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110035037B (zh) |
| WO (1) | WO2019137030A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031074A (zh) * | 2020-01-09 | 2020-04-17 | 中国信息通信研究院 | 一种认证方法、服务器和客户端 |
| CN111556119A (zh) * | 2020-04-23 | 2020-08-18 | 杭州涂鸦信息技术有限公司 | 设备信息变更方法及相关设备 |
| CN112307518A (zh) * | 2020-10-16 | 2021-02-02 | 神州融安科技(北京)有限公司 | 签名信息处理、显示方法、装置、电子设备及存储介质 |
| CN114785531A (zh) * | 2022-06-22 | 2022-07-22 | 广州万协通信息技术有限公司 | 一种基于服务节点切换的双向认证方法及装置 |
| WO2022166932A1 (zh) * | 2021-02-05 | 2022-08-11 | 中国移动通信有限公司研究院 | 一种通信鉴权方法、设备及存储介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110719163B (zh) * | 2019-09-29 | 2022-09-23 | 联想(北京)有限公司 | 一种信息处理方法、设备及存储介质 |
| CN111935213B (zh) * | 2020-06-29 | 2023-07-04 | 杭州创谐信息技术股份有限公司 | 一种基于分布式的可信认证虚拟组网系统及方法 |
| CN112910728A (zh) * | 2021-01-22 | 2021-06-04 | 苏州浪潮智能科技有限公司 | 一种数据安全监控方法及装置 |
| CN113591103B (zh) * | 2021-06-29 | 2024-02-23 | 中国电力科学研究院有限公司 | 一种电力物联网智能终端间的身份认证方法和系统 |
| CN116846564B (zh) * | 2023-08-30 | 2024-02-02 | 北京格尔国信科技有限公司 | 一种支持多算法的签名验签方法、系统、终端及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949785A (zh) * | 2005-10-12 | 2007-04-18 | 华为技术有限公司 | 一种移动节点的服务授权方法及系统 |
| WO2008151671A1 (en) * | 2007-06-14 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Proxy binding management in mobile ip networks |
| CN101478388A (zh) * | 2009-01-16 | 2009-07-08 | 西安电子科技大学 | 支持多级安全的移动IPSec接入认证方法 |
| CN101527632A (zh) * | 2008-03-06 | 2009-09-09 | 华为技术有限公司 | 响应消息认证方法、装置及系统 |
| US20100313024A1 (en) * | 2007-05-16 | 2010-12-09 | Panasonic Corporation | Methods in Mixed Network and Host-Based Mobility Management |
| CN102083102A (zh) * | 2011-01-26 | 2011-06-01 | 北京交通大学 | 实现移动接入网关可靠性的保障方法 |
| CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150572B (zh) * | 2006-09-22 | 2011-08-10 | 华为技术有限公司 | 移动节点和通信对端绑定更新的方法及装置 |
| JP4778565B2 (ja) * | 2006-11-02 | 2011-09-21 | パナソニック株式会社 | 通信方法、通信システム、モバイルノード及び通信ノード |
| CN107493570B (zh) * | 2017-07-18 | 2019-10-11 | 东北大学 | 一种基于身份群签的pmipv6匿名接入认证系统及方法 |
-
2018
- 2018-01-11 CN CN201810029871.4A patent/CN110035037B/zh active Active
- 2018-08-31 WO PCT/CN2018/103686 patent/WO2019137030A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949785A (zh) * | 2005-10-12 | 2007-04-18 | 华为技术有限公司 | 一种移动节点的服务授权方法及系统 |
| US20100313024A1 (en) * | 2007-05-16 | 2010-12-09 | Panasonic Corporation | Methods in Mixed Network and Host-Based Mobility Management |
| WO2008151671A1 (en) * | 2007-06-14 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Proxy binding management in mobile ip networks |
| CN101527632A (zh) * | 2008-03-06 | 2009-09-09 | 华为技术有限公司 | 响应消息认证方法、装置及系统 |
| CN101478388A (zh) * | 2009-01-16 | 2009-07-08 | 西安电子科技大学 | 支持多级安全的移动IPSec接入认证方法 |
| CN102083102A (zh) * | 2011-01-26 | 2011-06-01 | 北京交通大学 | 实现移动接入网关可靠性的保障方法 |
| CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031074A (zh) * | 2020-01-09 | 2020-04-17 | 中国信息通信研究院 | 一种认证方法、服务器和客户端 |
| CN111556119A (zh) * | 2020-04-23 | 2020-08-18 | 杭州涂鸦信息技术有限公司 | 设备信息变更方法及相关设备 |
| CN111556119B (zh) * | 2020-04-23 | 2023-04-21 | 杭州涂鸦信息技术有限公司 | 设备信息变更方法及相关设备 |
| CN112307518A (zh) * | 2020-10-16 | 2021-02-02 | 神州融安科技(北京)有限公司 | 签名信息处理、显示方法、装置、电子设备及存储介质 |
| CN112307518B (zh) * | 2020-10-16 | 2024-06-11 | 神州融安科技(北京)有限公司 | 签名信息处理、显示方法、装置、电子设备及存储介质 |
| WO2022166932A1 (zh) * | 2021-02-05 | 2022-08-11 | 中国移动通信有限公司研究院 | 一种通信鉴权方法、设备及存储介质 |
| CN114785531A (zh) * | 2022-06-22 | 2022-07-22 | 广州万协通信息技术有限公司 | 一种基于服务节点切换的双向认证方法及装置 |
| CN114785531B (zh) * | 2022-06-22 | 2022-10-18 | 广州万协通信息技术有限公司 | 一种基于服务节点切换的双向认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110035037B (zh) | 2021-09-17 |
| WO2019137030A1 (zh) | 2019-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11588626B2 (en) | Key distribution method and system, and apparatus | |
| CN110035037A (zh) | 安全认证方法、相关设备及系统 | |
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| US20190075462A1 (en) | User profile, policy, and pmip key distribution in a wireless communication network | |
| JP5144679B2 (ja) | 通信ネットワークにおけるユーザアクセス管理 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| US7984291B2 (en) | Method for distributing certificates in a communication system | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| US8295488B2 (en) | Exchange of key material | |
| NO337018B1 (no) | Fremgangsmåte og system for GSM-autentisering ved WLAN-forflytning | |
| WO2019041809A1 (zh) | 基于服务化架构的注册方法及装置 | |
| Goswami et al. | Remote Registration and group authentication of IoT devices in 5G cellular network | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN101616407B (zh) | 预认证的方法和认证系统 | |
| Tuladhar et al. | Inter-domain authentication for seamless roaming in heterogeneous wireless networks | |
| JP6153622B2 (ja) | インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置 | |
| Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
| Wan et al. | Identity based security for authentication and mobility in future ID oriented networks | |
| US20230049341A1 (en) | Bluetooth device and bluetooth gateway | |
| CN102869000A (zh) | 一种分离机制移动性管理系统的认证授权方法 | |
| Shi et al. | AAA Architecture and Authentication for Wireless Lan roaming |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |